Sélection d'un compte pour le service SQL Server Agent
Mis à jour : 5 décembre 2005
Le compte de démarrage du service définit le compte Microsoft Windows dans le contexte duquel l'Agent SQL Server s'exécute, ainsi que ses autorisations réseau. L'Agent SQL Server s'exécute dans le contexte d'un compte d'utilisateur spécifié. Pour des raisons de compatibilité avec les versions antérieures de SQL Server, vous pouvez également exécuter l'Agent SQL Server avec le compte système local.
Pour sélectionner un compte pour le service SQL Server Agent, utilisez le Gestionnaire de configuration de SQL Server dans lequel vous pouvez choisir l'une des options suivantes :
- Compte intégré. Vous pouvez choisir un compte dans la liste des comptes de service intégrés Windows suivants :
- Compte système local. Le nom de ce compte est NT AUTHORITY\System. Ce compte puissant bénéficie d'un accès illimité à l'ensemble des ressources système locales. Il est membre du groupe Administrateurs Windows de l'ordinateur local et donc membre du rôle serveur fixe sysadmin de SQL Server.
Remarque relative à la sécurité : Le Compte système local est fourni pour des raisons de compatibilité descendante uniquement. Le compte système local dispose d'autorisations dont l'Agent SQL Server n'a pas besoin. Évitez d'exécuter l'Agent SQL Server avec ce compte. Pour une sécurité optimale, utilisez un compte de domaine Windows disposant des autorisations répertoriées dans la section suivante, « Autorisations de compte de domaine Windows ». - Compte Service réseau. Le nom de ce compte est NT AUTHORITY\NetworkService. Il est disponible dans Microsoft Windows XP et Microsoft Windows Server 2003. Tous les services exécutés sous le compte Service réseau sont authentifiés dans les ressources réseau en tant qu'ordinateur local.
Remarque relative à la sécurité : Du fait que plusieurs services peuvent utiliser le compte Service réseau, il est difficile de contrôler quels services ont accès aux ressources réseau, notamment aux bases de données SQL Server. Nous déconseillons le choix du compte Service réseau pour le service SQL Server Agent.
Important : Ne sélectionnez pas le compte Service local. L'exécution du service SQL Server Agent est impossible avec ce compte et n'est pas prise en charge. Le nom de ce compte est NT AUTHORITY\LocalService. Il permet d'accéder aux ressources réseau en tant que session NULL sans informations d'identification. Il est disponible dans Microsoft Windows XP et Microsoft Windows Server 2003. - Compte système local. Le nom de ce compte est NT AUTHORITY\System. Ce compte puissant bénéficie d'un accès illimité à l'ensemble des ressources système locales. Il est membre du groupe Administrateurs Windows de l'ordinateur local et donc membre du rôle serveur fixe sysadmin de SQL Server.
- Ce compte. Cette option vous permet de spécifier le compte de domaine Windows dans le contexte duquel le service SQL Server Agent s'exécute. Nous vous recommandons de choisir un compte d'utilisateur Windows qui n'appartient pas au groupe Administrateurs de Windows. En revanche, certaines restrictions s'appliquent dans la cas de l'administration multiserveur lorsque le service SQL Server Agent n'est pas membre du groupe Administrateurs local. Pour plus d'informations, consultez Types de comptes de service pris en charge pour l'Agent SQL Server.
Pour obtenir des informations sur les fonctionnalités de l'Agent SQL Server prises en charge pour les divers types de compte de service, consultez Types de comptes de service pris en charge pour l'Agent SQL Server.
Autorisations de compte de domaine Windows
Pour améliorer la sécurité, sélectionnez Ce compte, qui spécifie un compte de domaine Windows. Le compte de domaine Windows que vous spécifiez doit posséder les autorisations suivantes :
- Dans toutes les versions de Windows : autorisation de se connecter en tant que service (SeServiceLogonRight).
Remarque : |
---|
Le compte du service SQL Server Agent doit être membre du groupe Accès compatible pré-Windows 2000 du contrôleur de domaine. Dans le cas contraire, les travaux des utilisateurs du domaine non membres du groupe Administrateurs de Windows échouent. |
- Sur les serveurs Windows, le compte sous lequel le service SQL Server Agent s'exécute requiert les autorisations suivantes afin de prendre en charge les proxys de l'Agent SQL Server.
- Autorisation d'agir dans le cadre du système d'exploitation (SeTcbPrivilege) (uniquement sous Windows 2000).
- Autorisation d'outrepasser le contrôle de parcours (SeChangeNotifyPrivilege).
- Autorisation de remplacer un jeton de niveau processus (SeAssignPrimaryTokenPrivilege).
- Autorisation de modifier les quotas de mémoire d'un processus (SeIncreaseQuotaPrivilege).
- Autorisation de se connecter au moyen du type de connexion par lots (SeBatchLogonRight).
Remarque : |
---|
Si le compte ne possède pas les autorisations requises pour prendre en charge les proxys, seuls les membres du rôle serveur fixe sysadmin pourront créer un travail. |
Remarque : |
---|
Pour recevoir des alertes WMI, le compte du service SQL Server Agent doit posséder une autorisation sur l'espace de noms qui contient les événements WMI, ainsi que l'autorisation ALTER ANY EVENT NOTIFICATION. |
Appartenance aux rôles SQL Server
Le compte avec lequel le service SQL Server Agent est exécuté doit être membre des rôles SQL Server suivants :
- Le compte doit être membre du rôle serveur fixe sysadmin.
- Pour utiliser le traitement de travaux multiserveurs, le compte doit être membre du rôle de la base de données msdbTargetServersRole du serveur maître.
Appartenance aux groupes Windows
Le compte dans le contexte duquel le service SQL Server Agent s'exécute doit être membre des groupes Windows suivants :
- Le compte doit être membre du groupe Accès compatible pré-Windows 2000 du contrôleur de domaine pour exécuter des travaux pour les utilisateurs qui ne sont pas membres du groupe Administrateurs.
Remarque relative à la sécurité : Pour une sécurité optimale, le compte du service SQL Server Agent ne doit pas être membre du groupe Administrateurs local. En revanche, certaines restrictions s'appliquent dans la cas de l'administration multiserveur lorsque le service SQL Server Agent n'est pas membre du groupe Administrateurs local. Pour plus d'informations, consultez Types de comptes de service pris en charge pour l'Agent SQL Server.
Tâches courantes
Pour spécifier le compte de démarrage du service SQL Server Agent
Pour spécifier le profil de messagerie de l'Agent SQL Server
Remarque : |
---|
Utilisez le Gestionnaire de configuration de SQL Server pour spécifier que l'Agent SQL Server doit démarrer lorsque le système d'exploitation démarre. |
Voir aussi
Concepts
Sécurité pour l'administration de l'Agent SQL Server
Implémentation de la sécurité de l'Agent SQL Server
Autres ressources
Configuration des comptes de service Windows
Gestion des services à l'aide du Gestionnaire de configuration SQL Server
Aide et Informations
Assistance sur SQL Server 2005
Historique des modifications
Version | Historique |
---|---|
5 décembre 2005 |
|